JP4469804B2 - セキュリティ管理システム - Google Patents
セキュリティ管理システム Download PDFInfo
- Publication number
- JP4469804B2 JP4469804B2 JP2006058344A JP2006058344A JP4469804B2 JP 4469804 B2 JP4469804 B2 JP 4469804B2 JP 2006058344 A JP2006058344 A JP 2006058344A JP 2006058344 A JP2006058344 A JP 2006058344A JP 4469804 B2 JP4469804 B2 JP 4469804B2
- Authority
- JP
- Japan
- Prior art keywords
- security
- key
- installer
- encryption key
- usb
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
このような技術の例は、特許文献1に開示される。
従来の技術では、同一の暗号鍵を有する異なるインストーラを作成することができないため、セキュリティポリシーが異なる複数の環境に対応するインストーラの暗号鍵を同一のものとすることができない。したがって、セキュリティポリシーが異なる環境で同一の暗号鍵を使用する際には、いったん一つのセキュリティポリシーに対応するインストーラによって全端末に暗号鍵を付与し、その後一部の端末のセキュリティポリシーを個別に変更するという作業が必要になり、作業効率が低下する。
物理鍵はUSBキーであり、物理鍵の識別情報はUSBキーのシリアルナンバーを表してもよい。
実施の形態1.
図1は、本発明に係るセキュリティ管理システムである、管理端末1の構成を示す。管理端末1は周知の構成を有するコンピュータであり、使用者からの入力を受け取る入力手段10と、演算を行う演算手段20と、情報を格納する記憶手段30と、USB(Universal Serial Bus)対応機器を接続するためのUSBポート50とを備える。入力手段10はキーボードおよびマウスを含み、演算手段20はCPU(中央処理装置)を含み、記憶手段30はメモリおよびHDD(ハードディスクドライブ)を含む。
管理端末1は、さらに、出力装置であるディスプレイおよびプリンタ、通信ネットワークに対する入力装置と出力装置とを兼ねるネットワークインタフェースを備える。
本明細書において、セキュリティポリシーとは、コンピュータ単位に実装されるセキュリティ、すなわちデータの改竄および漏洩を防止する方法の組合せを意味する。セキュリティポリシーに含まれる項目の例としては、いったん起動されたいわゆるスクリーンセーバーを解除するためにパスワードの入力を要求するかどうかの指定、HDDに記憶されるデータを暗号化するかどうかの指定、および、取り外し可能媒体へのデータ記憶を許可するかどうかの指定、等が挙げられる。
また、本明細書において、セキュリティIDとは、データの暗号化に関する処理に使用される暗号鍵に関連付けられる識別情報を意味する。たとえば、ある暗号鍵を含むインストーラを作成する処理には、その暗号鍵に関連付けられたセキュリティIDを指定することが必要である。
また、本明細書において、インストーラとは、暗号鍵およびセキュリティポリシーを表すデータを含み、この暗号鍵およびセキュリティポリシーをコンピュータに実装するためのプログラムを意味する。セキュリティ管理の対象となる端末が、プログラムであるインストーラを実行することにより、そのインストーラに含まれるセキュリティポリシーの内容に対応するプログラムおよびその他のデータが、その端末に入力される。すなわち、そのセキュリティポリシーが管理対象端末に実装される。
インストーラは、管理側の端末において作成された後、管理対象端末に配布され、管理対象端末によって実行される。配布の方法としては、ネットワーク経由、フロッピー(登録商標)ディスク経由、CD−R経由等が可能である。なお、インストーラは、セキュリティポリシーの実装には直接関連しないプログラムおよびデータも入力するものであってもよい。
ここで、セキュリティID定義手段22は、暗号鍵の作成を行う暗号鍵定義手段としても機能する。また、セキュリティポリシー定義手段21、セキュリティID定義手段22、およびインストーラ生成手段23は、それぞれ、出力装置(図示せず)を介してGUI(Graphic User Interface)を提供し、このGUIと入力手段10とによって管理端末1の使用者に対する入出力を行う。
ここで、後述するように、セキュリティIDにはそれぞれ対応する暗号鍵が関連付けられているので、セキュリティID記憶手段32は、暗号鍵を記憶する暗号鍵記憶手段としても機能する。
これらのUSBキーはそれぞれ、USBキーを互いに識別するためのIDである識別情報をその内部に記憶しており、コンピュータ(たとえば管理端末1)に接続されることによってこの識別情報をそのコンピュータに入力する。または、コンピュータがこの識別情報をUSBキーから読み取ってもよい。このIDは、各USBキーのシリアルナンバーを表す固有のもので、変更不可能である。たとえば、USBキーA41には「12345AAA」という文字列が、USBキーB42には「98765BBB」という文字列が、USBキーC43には「78945CCC」という文字列が、それぞれシリアルナンバーとして記憶されている。図1の例では、管理端末1にはUSBキーA41が接続されているので、管理端末1にUSBキーのIDとして「12345AAA」という文字列がUSBポート50を介して入力される。
このように、複数のUSBキーを用意し、適宜USBポート50に接続することにより、複数のUSBキーのIDを選択的に管理端末1に入力することが可能である。なお、後述するように、これらのUSBキーはセキュリティID定義手段22およびインストーラ生成手段23の処理において必要とされる。
まず、セキュリティポリシー定義手段21がセキュリティポリシーの定義を行う(ステップS1)。ここで、セキュリティポリシー定義手段21は、入力手段10を介してセキュリティポリシーの定義に関連する使用者からの入力を受け取り、また、定義されたセキュリティポリシーをセキュリティポリシー記憶手段31に記憶させる。
なお、この一覧表において、各行が一つのセキュリティポリシーに対応し、ポリシーIDが各行を区別するキーとなる。
次に、セキュリティID定義手段22は、管理端末1のUSBポート50にUSBキーが接続されているかどうか判定する(ステップS3)。ここで、セキュリティID定義手段22は、判定を行う前に、セキュリティIDの定義に使用するUSBキーの接続を促す表示を行ってもよい。
USBキーが接続されている場合、セキュリティID定義手段22は、暗号鍵の情報を含むセキュリティIDの定義を作成し、暗号鍵そのものを表すデータとともにセキュリティID記憶手段32に記憶させる(ステップS4)。ここで、セキュリティID定義手段22は、新たに作成された暗号鍵と、ステップS2において受け取った入力と、USBポート50を介して受け取るUSBキーのIDとに基づき、これらを関連付けてセキュリティIDの定義を作成する。
セキュリティID名は、そのセキュリティIDに関連付けられる名称を表し、主に使用者によって利用される。
定義済IDは、各セキュリティIDに関連付けられるUSBキーのIDを表す。ここで、USB ID1は、各セキュリティIDが定義される際に関連付けられるIDであり、ステップS3において接続されていたUSBキーのIDが指定される。また、USB ID2およびUSB ID3は、各セキュリティIDが定義された後に、追加で関連付けられるIDであり、図2のフローチャートには示されないID追加処理によって指定される。このID追加処理は、たとえば、まずセキュリティID定義手段22が、該当のセキュリティIDにすでに関連付けられ、USB ID1として定義されたUSBキーの接続を確認し、次にUSB ID2またはUSB ID3として定義すべきUSBキーの接続を要求するという処理を含む。ここで、まずUSB ID1の接続を確認するという処理は、一度作成されたセキュリティIDを変更するためには、すでに関連付けられているIDを持つUSBキー(ID追加処理によって追加されたIDがある場合にはそれも含む)のいずれかを接続する必要があるというセキュリティ要件が課されることを意味する。
作成日は、そのセキュリティIDが作成された日付、すなわちステップS4が実行された日付を表す。更新日は、そのセキュリティIDが、作成後、最後に更新された日付を表す。
なお、この一覧表において、各行が一つのセキュリティIDに対応し、セキュリティIDが各行を区別するキーとなる。
次に、インストーラ生成手段23は、入力されたセキュリティIDに対応するUSBキーが接続されているかどうかを判定する(ステップS6)。ここで、インストーラ生成手段23は、図4のセキュリティID一覧表において、入力されたセキュリティIDに関連付けられた定義済IDを参照し、接続されているUSBキーのIDが定義済IDに含まれるかどうかを判定するものである。この判定は、作成されたセキュリティIDを使用してインストーラを生成するためには、そのセキュリティIDに関連付けられた定義済IDを持つUSBキーを接続する必要があるというセキュリティ要件が課されることを意味する。
ここで、インストーラ生成手段23は、判定を行う前に、インストーラの生成に使用するUSBキーの接続を促す表示を行ってもよい。
また、インストーラそのものが記憶される具体的な場所は、たとえば管理端末1で一時保存データ用の領域として汎用される領域(C:¥temp等)や、フロッピー(登録商標)ディスク、USBメモリ、メモリスティック等である。この場所はその都度使用者によって指定されるものであってもよい(その場合、ステップS7はその場所に関する使用者からの入力を受け付ける処理を含む)。ただし、上述のように、インストーラに関連する情報のうち、紛失を避ける必要性が高いデータ、たとえば暗号鍵そのもの等は、管理が容易かつ確実に行えるインストーラ記憶手段33に記憶される。
ステップS7の後、インストーラ生成手段23は処理を終了する。
なお、ステップS7において作成されるインストーラは、その後管理対象端末において実行され、これによってインストールが行われる。インストール後、その管理対象端末では、上述のように定義されたセキュリティポリシーに従い、各種データの管理や、暗号化などを行うことができる。
インストーラIDは、そのインストーラを特定するための識別情報を表す。ポリシーIDおよびセキュリティIDは、そのインストーラに関連付けられるセキュリティポリシーのポリシーID、および、セキュリティIDを表す。このように、インストーラは、セキュリティポリシーおよびセキュリティIDの二つが揃って初めて生成可能となるものである。
作成日は、そのインストーラが作成された日付、すなわちステップS7が実行された日付を表す。更新日は、そのインストーラが、作成後、最後に更新された日付を表す。
なお、この一覧表において、各行が一つのインストーラに対応し、インストーラIDが各行を区別するキーとなる。
たとえば、既存のセキュリティポリシーおよび既存のセキュリティIDを用いてインストーラの作成が行われる場合には、ステップS1、S2、およびS4は実行されない。これは、たとえば、作成済みのインストーラを保存していなかった場合や、紛失してしまった場合に、これと同一のインストーラを再作成する際の処理の流れに相当する。
また、既存のセキュリティポリシーの一部を変更したものと、既存のセキュリティIDとを用いてインストーラの作成が行われる場合には、ステップS1ではセキュリティポリシーのうち変更される部分に関する入力のみを処理すればよく、S2およびS4は実行されない。これは、たとえば、既存のインストーラのセキュリティポリシーを一部変更して新たなインストーラを作成する際の処理の流れに相当する。
なお、上述のように、セキュリティIDに関連付けられるUSBキーのIDを追加する場合(すなわちID追加処理を行う場合)や、セキュリティIDの定義内容を変更する場合、または、定義済セキュリティIDを使用してインストーラの新規作成・変更後の再作成・単なる再作成を行う場合等には、ステップS3またはS6において該当のセキュリティIDに関連付けられたUSBキーとの照合が行われる。
ここで、USBキーの接続が要求されるのは管理端末1に対してのみなので、USBキーの運搬等に関する困難は生じない。また、固有のIDすなわちシリアルナンバーを有するUSBキーの作成・複製は自由にはできないので、USBキーの偽装に対しても安全性が保たれる。
さらに、このため、物理鍵以外のなんらかの仕組みによって単に同一のセキュリティIDを再利用可能とするような技術に対して、本発明に係る管理端末1は、同様の効果を維持しつつ、物理鍵を組み合わせることによる安全性の向上を実現することができる。
これとは異なる実施形態として、これらが複数のコンピュータに分散して設けられてもよい。たとえば、セキュリティID記憶手段32とインストーラ記憶手段33とがそれぞれ独立したコンピュータに設けられてもよい。
Claims (3)
- セキュリティ管理システムであって、
暗号鍵を作成する暗号鍵定義手段と、
前記暗号鍵を記憶する暗号鍵記憶手段と、
前記暗号鍵を含むインストーラを生成するインストーラ生成手段と、
物理鍵が接続される物理鍵接続手段と
を有し、
前記暗号鍵定義手段は、前記暗号鍵の前記作成に関連して前記物理鍵接続手段に接続される物理鍵の識別情報を受け取るとともに、受け取った前記物理鍵の前記識別情報を前記暗号鍵に関連付け、
前記インストーラ生成手段は、前記暗号鍵を含むインストーラの前記生成に関連して、前記生成されるインストーラに含まれるべき暗号鍵に関連付けられた前記物理鍵の前記識別情報を有する物理鍵が、前記物理鍵接続手段に接続されたかどうかの判定を行う
セキュリティ管理システム。 - 前記暗号鍵定義手段は、複数の前記物理鍵の前記識別情報を前記暗号鍵に関連付ける、請求項1に記載のセキュリティ管理システム。
- 前記物理鍵はUSBキーであり、前記物理鍵の前記識別情報は前記USBキーのシリアルナンバーを表す、請求項1または2に記載のセキュリティ管理システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006058344A JP4469804B2 (ja) | 2006-03-03 | 2006-03-03 | セキュリティ管理システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006058344A JP4469804B2 (ja) | 2006-03-03 | 2006-03-03 | セキュリティ管理システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007233970A JP2007233970A (ja) | 2007-09-13 |
JP4469804B2 true JP4469804B2 (ja) | 2010-06-02 |
Family
ID=38554460
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006058344A Expired - Fee Related JP4469804B2 (ja) | 2006-03-03 | 2006-03-03 | セキュリティ管理システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4469804B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5376679B2 (ja) * | 2011-01-12 | 2013-12-25 | Necアクセステクニカ株式会社 | ルータ装置、通信システム及びそれに用いる機能制御方法 |
-
2006
- 2006-03-03 JP JP2006058344A patent/JP4469804B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007233970A (ja) | 2007-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5922113B2 (ja) | 暗号化データにアクセスするための一度限り使用可能な認証方法 | |
US7457945B2 (en) | System and method for providing a secure firmware update to a device in a computer system | |
KR101190479B1 (ko) | 티켓 인증 보안 설치 및 부트 | |
JP4610557B2 (ja) | データ管理方法、そのプログラム及びプログラムの記録媒体 | |
US8863305B2 (en) | File-access control apparatus and program | |
CN107003866A (zh) | 来自加密模板的加密虚拟机的安全创建 | |
JP2008072613A (ja) | 管理システム,管理装置および管理方法 | |
US10855451B1 (en) | Removable circuit for unlocking self-encrypting data storage devices | |
KR20140051350A (ko) | 디지털 서명 권한자 의존형 플랫폼 기밀 생성 기법 | |
CN103154965A (zh) | 用于安全地管理对文件系统的用户访问的方法、安全设备、系统和计算机程序产品 | |
JP2015203901A (ja) | 管理システム、情報処理装置、管理サーバ、それらの制御方法、およびプログラム | |
KR20190062797A (ko) | 클라우드 서비스를 사용하는 사용자 단말기, 단말기의 보안 통합 관리 서버 및 단말기의 보안 통합 관리 방법 | |
JP4707748B2 (ja) | 外部記憶デバイス、外部記憶デバイスに記憶されたデータを処理するための方法、プログラムおよび情報処理装置 | |
TWI467485B (zh) | Verification of the basic input and output system update method, the computer can read the recording media and computer program products | |
JP2009059008A (ja) | ファイル管理システム | |
JP4469804B2 (ja) | セキュリティ管理システム | |
JP2008226146A (ja) | 情報処理装置と情報処理装置のデータ転送方法 | |
KR101056423B1 (ko) | 로그인된 계정권한 제어를 이용한 프로그램 실행관리 방법 및 기록매체 | |
JP6429455B2 (ja) | 画像形成装置及びその制御方法、並びにプログラム | |
WO2019057612A1 (en) | DEPLOYMENT DISTRIBUTED FROM A SINGLE MICRO-SOFTWARE | |
JP7230592B2 (ja) | 機器セットアップシステム、機器セットアップ方法及び電子機器 | |
JP2008176506A (ja) | 情報処理装置、情報処理方法、および管理サーバ | |
JP2006330789A (ja) | アプリケーションシステム、アプリケーションプログラム、記憶媒体、及びサーバ装置 | |
JP2009032165A (ja) | ソフトウェアのライセンス管理システム、プログラム及び装置 | |
JP5368969B2 (ja) | ソフトウェアのインストール方法、インストールシステム、および、コンピュータプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100210 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100223 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100301 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4469804 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130305 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130305 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140305 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |